基于證書的同態(tài)聚合簽名方案在智慧家居傳感器網絡中的應用

茅 磊

（江蘇建筑職業(yè)技術學院 信電工程學院，江蘇 徐州 221116）

0 引言

智慧家居又稱為智慧住宅［1］（Smart Home System），是人工智能、物聯網、云計算以及建筑設計、建筑裝飾等相關學科的綜合交叉研究領域。在智慧家居系統中，使用先進的計算機與通信、智慧云端控制、綜合布線等技術，將人們日常生活各個子領域系統，如安防、信息家電、室內燈光控制、地板采暖、居家健康保健、衛(wèi)生防疫等有機結合在一起，通過網絡化的綜合智慧控制和管理，實現更舒適、方便且更安全、環(huán)保的全新家居生活體驗［2］。

1 相關工作

隨著智慧家居產業(yè)的逐步發(fā)展，有關智慧家居的安全保障問題越來越引起人們的重視。智慧家居系統中存儲在云端的數據經常會受到各種威脅，包括用戶隱私泄漏、重要數據的非法濫用，以及采集的用戶數據完整性被破壞等［3］。對于用戶信息的泄漏、濫用可采用訪問控制和加密技術進行預防，在此方面已有不少研究成果。林珊珊等［4］分析了物聯網環(huán)境中智慧家居存在的安全隱患，指出智慧家居中存在竊聽、流量分析等被動攻擊方式以及重放攻擊、信息篡改等8 種主動攻擊方式；嚴寒等［5］圍繞智慧家居終端設備、云平臺、移動應用程序及通信4 個方面，綜述智慧家居中存在的攻擊方法和防御措施，最后討論了目前學術界及工業(yè)界關注的研究熱點與難點；馮承文等［6］分析了智慧家居系統與智慧社區(qū)、智慧城市之間的關系，指出智能分析算法的應用會造成智慧家居系統存在相應的安全風險，并分別從法律和技術層面論述了智慧家居安全標準體系框架的通用標準和專用標準；張國亮［7］從家居安防智能化、家電設備智能化、家居醫(yī)療智能化等方面，針對智慧家居系統中的物聯網構架安全威脅和通信安全威脅給出了可行性建議和實施方案；王宇成［8］針對物聯網智能家居系統設備攻擊檢測展開研究，設計了一個基于傳感器上下文特征的敏感指令入侵檢測框架，實現了對窗戶（以及智能門鎖）、空調（以及恒溫器）、燈、窗簾（以及百葉窗）、電視音響等娛樂類電器（以及廚房類電器）的決策樹模型構建。但目前關于智慧家居系統中，對各終端無線傳感器收集的相關數據在云端完整性的有效保護方案目前尚不多見，因此本文將針對此問題展開研究。

2 系統模型與方案實施過程

智慧家居系統在部署時所有功能均以互聯網為基礎，建立在物聯網和云計算之上。智慧家居系統終端一般是各種無線傳感設備，其負責收集、更新各種家居生活中的環(huán)境數據。由于云計算服務商往往擁有強大的算力以及海量的存儲空間，因此可將各終端設備采集的數據傳送至云端，通過云計算大數據的分析為智慧家居系統提供各種決策服務，如圖1所示。

由圖1 可以看出，保證各終端傳感器采集數據的完整性，是智慧家居系統正常工作的基本要求。密碼學中的數字簽名技術可以同時為物聯網終端采集的數據提供真實性、完整性和不可否認性的驗證服務，尤其是在數據完整性公開驗證、數字取證及不可否認性認證等方面發(fā)揮著難以替代的作用。本文針對具有特殊性質的同態(tài)聚合數字簽名技術展開研究，并將其應用于保障智慧家居系統存儲在云端數據的完整性。數字簽名技術基于公鑰密碼學理論，公鑰密碼體制自1976 年由Diffie 等［9］提出以后，按照發(fā)展過程出現了傳統公鑰密碼體制、基于身份的公鑰密碼體制、無證書密碼體制和基于證書的密碼體制等幾類公鑰密碼體制［10］。傳統公鑰密碼體制部署時需要設置用戶公鑰證書管理中心，用于頒發(fā)、管理用戶證書并驗證其合法性，無形中增加了系統證書管理的負擔；基于身份的公鑰密碼體制在使用與部署時，雖然可直接采用用戶的標識信息（例如郵箱地址、公民身份證號與電話號碼等）作為公鑰，減少了傳統公鑰密碼系統中頒發(fā)、驗證、維護公鑰證書等環(huán)節(jié)，但是用戶私鑰全部存儲在密鑰生成中心（Key Generation Center，KGC）。換而言之，基于身份的密碼體制中的密鑰生成中心（KGC）掌控系統中的所有用戶私鑰，所以使用時必須假定上述KGC 是完全誠實可信的，這強制性假設往往與現實中的某些客觀環(huán)境不符，不適合應用于智慧家居這樣商業(yè)性的云存儲平臺中，會存在密鑰托管問題。

基于證書的公鑰密碼體制［11-12］與以上兩種公鑰密碼體制相比具有明顯優(yōu)勢。在基于證書的公鑰密碼體制中，每個用戶擁有自己選擇的公私鑰對和權威認證機構頒發(fā)的證書。當加密或簽名時，需要同時使用自己的私鑰和證書。由于私鑰是用戶自己選擇的，因此避免了基于身份的密碼體制的密鑰托管問題，同時在一定程度上降低了傳統公鑰體制中公鑰證書存儲效驗和計算等方面的開銷。在智慧家居系統中可以非常方便地部署基于證書的密碼系統：系統云服務商可以扮演證書生成中心，用戶注冊時，證書生成中心為每個用戶生成各自的證書，用戶則根據云服務商公開的系統參數隨機選擇自己的公私鑰對。如圖2所示，在智慧家居系統中部署基于證書的公鑰密碼體制不僅可以抵御外部惡意攻擊者，而且可以抵抗不誠實云服務商的偽造，因此是最佳選擇。

智慧家居邊緣系統中的無線傳感器每時每刻都在收集用戶室內外環(huán)境的相關數據，通過網絡上傳至云平臺中進行大數據分析與處理。如果這些收集到的數據在互聯網中傳輸或在云端存儲時，受到有意無意的破壞，那么錯誤的數據就會直接影響到智慧家居系統的正常工作，所以保障智慧家居系統中云端數據的完整性是非常必要的。對于智慧家居系統中無線傳感器收集的數據，若采用普通的數字簽名來保證采集數據的完整性，需要對每個采集的數據塊簽名進行驗證。該方式不但會增加網絡中傳輸的代價，而且當需要檢驗存儲在云端數據的完整性時，還要逐一下載驗證每個數據塊對應的簽名，因此不實用。

同態(tài)簽名［13-16］是一種特殊的數字簽名，假設M為待簽名的數據集空間，該空間中的運算為#，簽名空間為Θ，對應空間中的運算為*，對于來自M和Θ 上的消息簽名對(m1，λ1)和(m2，λ2)（其中λ1=f(m1)，λ2=f(m2)），若簽名算法f是 代數 系統(M，#)到(Θ，*)上 的同 態(tài)映 射，則f(m1#m2)=f(m1)*f(m2)=λ1*λ2成立。可以看出，在同一數據集空間M中，數據簽名可由同態(tài)組合算法直接生成。聚合簽名［17-19］與同態(tài)簽名不同，聚合簽名中包含以下3 類實體：簽名 者User1，User2，…，Userq（Useri的 公私 鑰對為（PKi，xi））、簽名聚合者（Aggregater）和聚合簽名的驗證者（Verifier）。聚合者A以User1，User2，…，Userq各自產生的消息—簽名對（m1，σ1）、（m2，σ2）、…、（mq，σq）作為輸入，通過聚合算法輸出聚合后的簽名σA，然后A把｛（m1，PK1）、（m2，PK2）、…、（mq，PKq），σA｝傳送給驗證者V，驗證者通過聚合驗證算法鑒別聚合簽名σA的有效性。如果σA是合法簽名，那么可以確定上述q個用戶的單個簽名是合法的。在需要把多個不同實體產生的多個簽名同時傳送給一個驗證者進行驗證時，聚合簽名非常方便實用。

在智慧家居系統中，使用同態(tài)簽名和聚合簽名不僅可有效節(jié)省對傳送方的通信帶寬需求，而且可以降低驗證多個簽名人簽名時的計算代價，同時降低云平臺中存儲多個簽名所需的存儲代價。當智慧家居無線傳感網絡收集的各用戶數據存放在云平臺時，可按時間間隔適當分塊，將分成的塊看作一個數據集，采用同態(tài)簽名進行簽名，并把數據集標簽和各塊的簽名上傳云端，如圖3所示。

Fig.3 Data acquisition process in smart home system圖3 智慧家居系統中的數據采集過程

驗證者在驗證數據的完整性時，可隨機指定若干數據塊和一個同態(tài)函數，向云平臺服務器挑戰(zhàn)。云平臺服務器使用同態(tài)組合算法，通過同態(tài)運算把用戶挑戰(zhàn)塊和對應簽名進行壓縮，最后將壓縮后的結果返回數據的驗證者，驗證者使用對應的驗證算法驗證云服務器返回的結果是否正確，如圖4所示。

Fig.4 Process of using homomorphic algorithms to challenge cloud servers圖4 使用同態(tài)算法向云服務器挑戰(zhàn)的過程

在進行多用戶數據塊完整性批量驗證時，云服務器需將驗證者所指定各用戶分塊的同態(tài)函數簽名進行聚合，把各數據分塊的同態(tài)函數值以及這些值的簽名聚合結果返回給驗證者。驗證者通過對聚合簽名的驗證，便可獲知多個不同用戶的家居信息數據的完整性，如圖5 所示。由此可見，在同一用戶數據集中的數據塊簽名可先用同態(tài)組合算法進行壓縮，而不同用戶的數據塊（即不同數據集中的數據塊）簽名用聚合算法進行壓縮。該方式既減少了智慧家居云服務器需要傳輸的信息量，又減少了驗證者驗證簽名的計算量，大大提高了數據簽名驗簽時的效率。

Fig.5 Batch validation of multi-user data using aggregation signature algorithm圖5 使用聚合簽名算法實現多用戶數據的批驗證

基于證書的同態(tài)聚合簽名在智慧家居系統中的部署方案包括以下幾種算法：

（1）系統初始化算法。智慧家居系統云平臺服務中心作為證書生成中心，輸入安全參數1k，算法輸出基于證書系統的公私鑰對（CB-P0，CB-msk）和系統公開參數CBparams。其中，系統私鑰CB-msk需要嚴格保密。

（2）用戶密鑰生成算法。用戶在智慧家居系統注冊時運行該算法，用戶輸入自己的身份信息ID和系統公開參數CB-params，算法輸出用戶的公私鑰對（CB-xID，CB-PKID）。

（3）證書生成算法。在智慧家居系統云服務中心運行該算法，算法輸入系統的主私鑰CB-msk、系統公鑰CBP0、系統公開參數CB-params、用戶ID 及該用戶的公鑰CB-PKID，算法輸出由該云服務中心簽署的用戶證書CertID。

（4）簽名算法。該算法由智慧家居系統的各用戶終端運行，對系統中邊緣傳感器收集的數據進行簽名。算法輸入用戶身份ID、系統公開參數CB-params、系統的公鑰CB-P0、數據集標簽τ、待簽名的數據塊用戶證書CertID、用戶私鑰CB-xID，算法輸出在身份ID 下數據塊m的簽名σ。

（5）同態(tài)組合算法。由智慧家居系統云服務中心運行，數據驗證者驗證時，隨機指定某一數據集τ中的若干數據塊以及同態(tài)函數的系數，向云服務器發(fā)出挑戰(zhàn)。云服務器運行該算法，輸入挑戰(zhàn)用戶身份ID、公鑰PKID、數據集標簽τ和，算法輸出同態(tài)算法組合后的簽名σ。

（6）驗證算法。該算法由數據驗證者執(zhí)行，輸入系統的公開參數CB-params、系統的公鑰CB-P0、用戶身份ID、用戶的公鑰PKID、數據集標簽τ、消息向量m和簽名σ，算法輸出true或false。

（7）聚合算法。在進行多用戶數據塊的批量驗證時執(zhí)行本算法。若存在q個不同用戶users={u1，u2，…，uq}（其中用戶ui的身份為IDi，公鑰為PKi），設聚合簽名驗證者的公私鑰對為（pkver，skver），輸入系統公開參數CBparams、聚合簽名驗證者的公鑰pkver、q個用戶在對應數據集中數據塊向量mi的合法簽名σi(其中i=1，2，…，q)，算法輸出這些用戶在消息—簽名對上的聚合簽名σAgg。

（8）聚合驗證算法。輸入系統公開參數CB-params、聚合簽名驗證者的私鑰skver、在上的聚合簽名σAgg，算法輸出true或false。

3 基于證書的同態(tài)聚合簽名算法

（1）系統初始化算法。該算法由云平臺服務中心運行，輸入安全參數1k，云服務中心生成p階的乘法循環(huán)群G1，GT，其中p為素數，g是G1的生成元，雙線性映射e：G1×G1→GT。隨機選擇，設置系統主私鑰s，系統公鑰P0=gs。選擇以下4 個密碼Hash 函數：H1：{0，1}*→G1，H5：{0，1}*→G1，公開系統的公開參數(G1，GT，e，p，g，P0，H1，H2，H3，H4，H5)。系統參數公開后，聚合簽名驗證者需隨機選取驗證私鑰ε∈，并對私鑰嚴格保密，設置公開聚合簽名的驗證公鑰為ξ=gε。

（2）用戶密鑰生成算法。該算法由智慧家居系統中的終端用戶運行，算法以系統公共參數和用戶身份ID∈{0，1}*作為輸入。算法隨機選擇x∈，計 算PK=gx。（PK，x）即為該用戶的公私鑰對。

（3）證書生成算法。該算法由云平臺服務中心運行，用戶注冊該系統時，向云平臺服務中心提交身份ID∈{0，1}*，云平臺服務中心輸入系統公共參數、主私鑰s，計算D=(H1(ID))s，將其作為用戶證書，并傳遞給用戶。

（6）驗證算法。該算法由數據塊驗證者運行，算法的輸入為系統公開參數、用戶身份ID、公鑰PK、數據塊向量y=(y1，y2，…，yn)∈和簽名W，算法分兩個階段進行：

首先，從W中提取數據集標簽τ=(R，β，Y)，計算Q=H1(ID)，u=H2(M‖R‖PK‖β)，v=H3(M‖R‖PK‖β)，并驗證式（1）是否成立：

如果上式不成立，則輸出false。否則進入下一步驗證，計算Ti=H4(ID‖τ‖i)，驗證下面的等式是否成立：

如果上式不成立，則輸出false，說明數據塊發(fā)生損壞；否則輸出true，說明被驗證的數據塊沒有被損壞。

如果有φ=φ'且μ=μ'成立，則該算法輸出true，說明驗證的數據塊沒有發(fā)生損壞；否則輸出false，說明驗證的數據塊中存在損壞。

4 基于證書的同態(tài)聚合簽名方案正確性驗證

（1）簽名算法輸出的數據集標簽（τ=(R，β，Y)）的正確性驗證。

（2）簽名算法輸出同態(tài)簽名部分的正確性驗證。

（4）聚合簽名算法的正確性驗證。

成立。

5 基于證書的同態(tài)聚合簽名安全模型

基于證書的同態(tài)聚合簽名安全模型描述包含兩部分：基于證書的同態(tài)簽名方案的安全性和聚合算法的安全性。

5.1 基于證書的同態(tài)簽名安全模型

按照基于證書的密碼體制的特點，只有當攻擊者同時掌握該用戶證書CertID和用戶私鑰CB-xID時，才能生成用戶公鑰CB-PKID下的合法簽名。如果攻擊者只掌握用戶證書CertID或用戶私鑰CB-xID的其中一個，則不能偽造合法簽名。由于在基于證書的簽名系統中不要求簽名的驗證者驗證用戶公鑰的合法性，所以在該系統中存在“替換公鑰”攻擊。因此，可將基于證書簽名的攻擊者劃分為以下兩類：第一類攻擊者CB-AⅠ可以替換任意用戶的公鑰CB-PKID，但不能獲得目標用戶的證書CertID；第二類攻擊者也被稱為“誠實而又好奇”的證書頒發(fā)機構，此類攻擊者可以產生用戶的證書CertID，但不能替換攻擊目標用戶的公鑰CB-PKID。

同態(tài)簽名算法中引入數據集概念，即在同一數據集中數據簽名可由同態(tài)算法直接生成，而不同數據集之間的數據簽名則不再滿足上述性質。因此，同態(tài)簽名應滿足在適應性選擇數據集下存在性不可偽造（Existentially Unforgeable Against Adaptive Chosen Dataset Attacks，EUF-CDA）的安全性要求。綜上，基于證書的同態(tài)簽名方案在適應性選擇身份、適應性選擇數據集下存在性不可偽造的安全模型可通過以下挑戰(zhàn)者C 和攻擊者（AⅠ或AⅡ）之間的游戲來刻畫。

對于第一類攻擊者AⅠ，構建模型如下：

（1）系統建立。C 生成公開參數params和系統主私鑰msk、保密主私鑰msk，將公開參數params發(fā)送給攻擊者AⅠ。

（2）詢問。攻擊者AⅠ可向挑戰(zhàn)者進行創(chuàng)建用戶詢問、用戶密鑰提取詢問、用戶證書提取詢問、替換用戶公鑰詢問與簽名詢問，挑戰(zhàn)者需要模擬隨機諭言器給予正確的回答。在簽名詢問時，挑戰(zhàn)者要模擬簽名諭言器，輸出在攻擊者要求身份公鑰下的合法簽名。

文獻［19］中按照簽名諭言器的能力，將簽名諭言器分成普通、強力和超級3 類：①普通簽名諭言器：該類簽名諭言器只能回答用戶身份為ID，在公鑰CB-PKID下消息向量m的簽名，其中公鑰CB-PKID沒有被攻擊者替換過，否則終止游戲；②強力簽名諭言器：該類簽名諭言器在回答攻擊者簽名詢問時可分成兩種情況：被詢問身份ID 的公鑰沒有被攻擊者替換過，則可以直接通過查詢用戶密鑰表，查詢對應的公私鑰對，輸出合法簽名；如果被詢問身份ID的公鑰被替換過，則先向攻擊者詢問替換后公鑰對應的私鑰，再輸出合法簽名；③超級簽名諭言器：該類諭言器能在被詢問身份ID 的公鑰被替換過時，即使攻擊者不提供對應的私鑰，也能輸出合法簽名。即攻擊者只提供用戶身份ID和消息向量m，而不提供替換公鑰后對應的私鑰，挑戰(zhàn)者也要產生合法簽名σ。在本文所述算法的安全證明中，挑戰(zhàn)者要模擬超級簽名諭言器輸出合法簽名。

（3）偽造輸出。最后攻擊者輸出一個偽造（ID*，PK*，τ*，m*，σ*）。當以下情況成立時，稱攻擊者AⅠ在上述游戲中獲勝：①σ*是在挑戰(zhàn)身份ID*和對應公鑰PK*下，由τ*標記的數據集中消息m*的合法簽名；②攻擊者沒有詢問過挑戰(zhàn)身份ID*的證書；③τ*≠τi，即AⅠ沒有詢問過身份為ID*、公鑰為PK*，并由τ*標記的數據集m*中的消息簽名。

對于第二類攻擊者AⅡ，構建模型如下：

（1）系統建立。C 生成公開參數params和系統主私鑰msk，將其發(fā)送給攻擊者AⅡ。

（2）詢問。攻擊者AⅡ可向挑戰(zhàn)者進行創(chuàng)建用戶詢問、用戶密鑰提取詢問、用戶證書提取詢問、替換用戶公鑰詢問與簽名詢問，挑戰(zhàn)者需要模擬隨機諭言器給予正確的回答。在簽名詢問時，仍然可將簽名諭言器分成普通、強力、超級3 種，其能力如游戲1 中所述。本文所述算法的安全證明，仍要模擬超級簽名諭言器輸出合法簽名。

（3）偽造 。最后 AⅡ輸出一個偽造（ID*，PK*，τ*，m*，σ*）。當以下情況成立時，稱攻擊者AⅡ在游戲中獲勝：①σ*是在挑戰(zhàn)身份ID*、公鑰PK*下，由τ*標記的數據集中消息m*的合法簽名；②τ*≠τi，即AⅡ沒有詢問過身份為ID*、公鑰PK*下，由τ*標記的數據集m*上消息的簽名；③AⅡ沒有詢問過挑戰(zhàn)身份ID*對應的私鑰；④AⅡ沒有替換過挑戰(zhàn)身份ID*對應的公鑰。

定義1 把攻擊者在上述兩個游戲中獲勝的概率稱為攻擊者優(yōu)勢，一個基于證書的同態(tài)簽名方案在適應性選擇身份、適應性選擇數據集下是存在性不可偽造的（EUFCBHS-ID-CDA），當且僅當，任何概率多項式時間內的超級攻擊者在上述兩個游戲中獲勝的優(yōu)勢是可忽略的。

5.2 聚合簽名的安全模型

聚合簽名的作用是將若干簽名者生成的單個簽名壓縮成一個簽名。在文獻［20］中給出了一種來自于聚合簽名者內部的合謀攻擊，并重新定義了聚合簽名安全模型中攻擊者的能力：攻擊者使用一系列單個簽名偽造一個合法的聚合簽名，而在這些單個簽名中至少包含了一個非法簽名。換句話說，只有當參與聚合的單個簽名都是合法簽名時，通過聚合算法生成的聚合簽名才是合法的。對于基于證書的同態(tài)聚合簽名而言，只有當每個參與聚合的基于證書的同態(tài)簽名都是合法簽名時，生成的基于證書的同態(tài)聚合簽名才是合法的。其安全模型描述如下：

（1）系統建立。挑戰(zhàn)者獲得安全參數后生成系統的各項參數params，C生成驗證聚合簽名的公私鑰對，然后C將公鑰PK和參數發(fā)送給攻擊者A。

（2）詢問。私鑰詢問，攻擊者給出待詢問的用戶ID，挑戰(zhàn)者運行用戶密鑰生成算法，將用戶ID 的公私鑰對返回給攻擊者；聚合驗證詢問，攻擊者給出聚合后的簽名，挑戰(zhàn)者通過運行聚合簽名驗證算法，回答該簽名是否合法。

（3）偽造。最后攻擊者A 輸出一個偽造的聚合簽名，如果滿足下列條件，稱攻擊者A 在上述游戲中獲勝：①攻擊者A 輸出的最后聚合簽名是合法的；②在攻擊者進行聚合的單個簽名序列中，至少有一個簽名是非法的，即攻擊者使用了若干不完全合法的單個簽名產生了一個合法的聚合簽名。

定義2 一個基于證書的同態(tài)聚合簽名方案對于上述攻擊者是安全的，當且僅當，在任何概率多項式時間t內，能夠偽造最多q個聚合簽名的超級攻擊者，在上述游戲中獲勝的優(yōu)勢是可忽略的。

6 本文方案安全性分析

定理1 在隨機諭言模型下，若存在一個EUFCBHS-ID-CDA的第一類攻擊者AⅠ，能在多項式時間t內最多進行NC次創(chuàng)建用戶詢問、N1次H1詢問、N2次H2詢問、N3次H3詢問、N4次H4詢問、NK次密鑰提取詢問、Ns次簽名詢問，以? 的優(yōu)勢成功攻破上述方案，則存在一個算法C 能夠在t'≤t+(2NC+4Ns+3)t*時間內，以優(yōu)勢解決CDH 問題，t*為每次回答詢問消耗的時間。

證明：CDH 問題實例：設G1是p階乘法循環(huán)群，g是生成 元，已 知P1=ga，P2=gb∈G1，a，b∈（其 中a、b未知），求解gab∈G1。挑戰(zhàn)者C 與第一類攻擊者AI交互，利用攻擊者AI的能力來解決上述CDH 問題。

（1）系統建立。給定安全參數1k和一個整數n，挑戰(zhàn)者C 建立如下系統：生成另一個素數p階的乘法循環(huán)群GT，g是CDH 實例中乘法循環(huán)群G1的生成元，雙線性映射e：G1×G1→GT，設 置P0=gb。C 將系統的公開參數(G1，GT，e，g，p，P0)發(fā)送給攻擊者AⅠ。H1、H2、H3、H4是C 控制的隨機諭言器。

（2）詢問。創(chuàng)建用戶詢問：C 維護表Userlist，表中的各項為（IDi，Di，xi，PKi），即用戶身份、用戶證書、私鑰、公鑰，初始為空。設AⅠ進行qc次創(chuàng)建用戶詢問，C 隨機選擇t∈{1，2，…，qc}，將身份IDt作為攻擊者的挑戰(zhàn)身份。運行時AⅠ提交身份IDi，C 進行如下運算：如果詢問身份不是挑戰(zhàn)身份（即IDi≠IDt)，C 隨機選擇xi∈，計算PKi=，對身份IDi運行H1詢問，在H1-List取出Qi=H1(IDi)=和wi，設置；如果詢問身份是挑戰(zhàn)身份（即IDi=IDt)，C 隨機選擇xt∈，計算PKt=，對身份IDi運行H1詢問，從H1-List中取出Qt=H1(IDt)=P1，設置Dt=⊥。C將（IDi，Di，xi，PKi）加入表Userlist中。

H1詢問：C維護H1-List表，每一項為 (IDi，wi，Qi)，初始為空。AⅠ提交待詢問用戶的身份IDi，挑戰(zhàn)者C 進行如下回答：如果詢問身份不是挑戰(zhàn)身份（即IDi≠IDt），C 隨機選擇wi∈，設置Qi=H1(IDi)=；如果詢問身份是挑戰(zhàn)身份，（即IDi=IDt），C 設置wt=⊥，Qt=H1(IDt)=ga。C 將Qi的值返回給攻擊者。

證書提取詢問：AⅠ向證書提取諭言器提交待詢問用戶的身份IDi，挑戰(zhàn)者 C 進行如下回答：若IDi≠IDt，C 查詢表Userlist，返回身份IDi對應的Di；否則IDi=IDt，C 終止，因為AⅠ不能詢問挑戰(zhàn)身份的證書。

用戶密鑰詢問：AⅠ提交用戶的身份IDi，詢問對應的公私鑰對，C查詢表Userlist，返回（xi，PKi）。

公鑰替換詢問：AⅠ可以向替換公鑰諭言器提交一個身份為IDi用戶的新公鑰，C 用替換表Userlist中IDi對應的原公鑰PKi。

H2、H3詢問：C 維護表H2-List和表H3-List，兩個表中每一項分別為一個五元組 (M，R，PKi，β，u) 和(M，R，PKi，β，v)，初始時均為空。AⅠ提交詢問(M，R，PKi，β)，挑戰(zhàn)者C 進行如下回答：隨機選擇u，v∈設置H2(M‖R‖PKi‖β)=u，H3(M‖R‖PKi‖β)=v。

H4詢問：C 維護表H4-List，表中各項為(IDi，τ，s，(g1，g2，…，gn))，初始為空。AⅠ可以向H4諭言器提交詢問(IDi，τ，k)，C 隨機選擇s1，s2，…，sn←。記s=(s1，s2，…，sn)，設 置gk=H4(IDi‖τ‖k)=，(k=1，2，…，n)，將gk返回給攻擊者。

設t為AⅠ運行時間，t'為C 運行時間，t*為每次回答詢問消耗的時間，若AⅠ最多進行NC次創(chuàng)建用戶詢問，則H2、H3、H4詢問 的次數為N2=N3=N4=Ns+1，所以可得t'≤t+2NC·t*+N2t*+N3t*+N4t*+Nst*=t+(2NC+4Ns+3)t*。證畢。

定理2 在隨機諭言模型下，若存在一個EUFCBHS-ID-CDA的第二類攻擊者AⅡ，能在多項式時間t內最多進行NC次創(chuàng)建用戶詢問、N1次H1詢問、N2次H2詢問、N3次H3詢問、N4次H4詢問、NK次用戶密鑰提取詢問、NS次簽名詢問，以?的優(yōu)勢成功攻破上述方案，則存在一個算法C 能夠在t'≤t+(2NC+4Ns+3)t*時間內，以優(yōu)勢?'≥解決CDH 問題，其中t*為每次回答詢問所用時間。

證明：針對CDH 問題實例，設G1是p階乘法循環(huán)群，g是生成元，已知P1=ga，P2=gb∈G1，a，b∈（其中a、b未知），求解gab∈G1。挑戰(zhàn)者C 與第二類攻擊者AⅡ交互，利用攻擊者AⅡ的能力來解決上述CDH 問題。

（1）系統建立。輸入安全參數1k和整數n，C 建立交互系統：選擇另一個p階乘法循環(huán)群GT，雙線性映射e：G1×G1→GT。隨機選擇s∈，設置系統主私鑰msk=s，P0=gs，最后將系統的公開參數params=(G1，GT，e，g，p，P0)和主私 鑰發(fā) 送給 攻擊 者。H1、H2、H3、H4是C 控制 的隨 機諭言器。

（2）詢問。創(chuàng)建用戶詢問：C 維護表Userlist，表中的各項為（IDi，Di，xi，PKi），即用戶身份、用戶證書、用戶私鑰、用戶公鑰，初始為空。設AII進行qc次創(chuàng)建用戶詢問，C 隨機選擇t∈{1，2，…，qc}，將身份IDt作為攻擊者的挑戰(zhàn)身份。運行時AII提交身份IDi，C 進行如下操作：如果詢問身份不是挑戰(zhàn)身份（即IDi≠IDt)，C 隨機選擇xi∈，計算PKi=gxi，對身份IDi運行H1詢問，從H1-List中取出Qi=H1(IDi)=，并設置Di=

如果詢問身份是挑戰(zhàn)身份（即IDi=IDt)，C 設置xt=⊥，PKt=P2，對身份IDi運行H1詢問，從H1-List中取出Qt=H1(IDt)=P1，并 設置Dt=(P1)s。C 將（IDi，Di，xi，PKi）加入表Userlist中。

H1詢問：C維護H1-List表，每一項為 (IDi，wi，Qi)，初始為空。AII提交詢問用戶的身份IDi，挑戰(zhàn)者C 進行如下操作：如果詢問身份不是挑戰(zhàn)身份（即IDi≠IDt)，C 隨機選擇wi∈，設置Qi=H1(IDi)=gwi；如果詢問身份是挑戰(zhàn)身份（即IDi=IDt)，C 設置wt=⊥，Qt=H1(IDt)=P1。C 將Qi的值返回給攻擊者。

用戶密鑰詢問：AⅡ提交用戶的身份IDi，詢問對應的公私鑰對，挑戰(zhàn)者C進行如下回答：若IDi≠IDt且用戶IDi對應的公鑰沒有被替換過，C 以IDi為索引查詢表Userlist，返回（xi，PKi）；若IDi=IDt，則C 終止。攻擊者AII不能詢問挑戰(zhàn)身份的私鑰。

公鑰替換詢問：AⅡ可以向替換公鑰諭言器提交一個身份為IDi用戶的新公鑰，用來替換身份為IDi用戶原來的公鑰PKi。若IDi≠IDt，則C 用PK'i替換原來表中IDi對應的公鑰PKi；若IDi=IDt，則C 終止。攻擊者AII不能替換挑戰(zhàn)身份的公鑰。

H2、H3詢問：C 維護表H2-List和表H3-List，在這兩個表中每一項分別為一個五元組(M，R，PKi，β，u) 和(M，R，PKi，β，v)，初始時為空。AⅡ提交詢問(M，R，PKi，β)，挑戰(zhàn)者C 進行如下回答：隨機選擇u，v∈，設置H2(M‖R‖PKi‖β)=u，H3(M‖R‖PKi‖β)=v。

H4詢問：C 維護一張表H4-List，表中各項為(IDi，τ，s，(g1，g2，…，gn))，初始為空。AⅡ可以向H4諭言器提交詢問(IDi，τ，k)，C 隨機選擇s1，s2，…，sn←，記s=(s1，s2，…，sn)，并分別計算gk=H4(IDi‖τ‖k)=，(k=1，2，…，n)，將gk返回給攻擊者。

定理3 設哈希函數H是抗碰撞的，當且僅當在聚合簽名中每個用戶的簽名是合法的，則由聚合算法產生的聚合簽名是合法的。

證明：

所以，聚合簽名是合法的。

（2）另一方面，如果聚合簽名是合法的，則有φ=φ'。即：

（4）由μ=μ'成立，可得：

7 基于證書的同態(tài)聚合簽名方案性能實驗

本節(jié)針對上述設計的基于證書的同態(tài)聚合簽名方案，使用Java 語言編程進行了仿真實驗，實驗中使用斯坦福大學開發(fā)的JPBC 庫（The Java Pairing-Based Cryptography Library）。測試環(huán)境的硬件配置為：CPU 為Intel Core i7 @2.2 GHz，內存為16 GB，操作系統為Windows 10（x64）。

仿真實驗中選取的每個數據塊大小為5MB，分別使用本文設計的基于證書的同態(tài)聚合簽名方案、文獻［21］中基于證書的聚合簽名方案和文獻［22］中基于證書的簽名方案。如表1 所示，依次對10 個數據塊（包含2 個數據集，每個數據集中有5 個數據塊）、30 個數據塊（包含5 個數據集，每個數據集中有6 個數據塊）、50 個數據塊（包含5 個數據集，每個數據集中有10 個數據塊）、70 個數據塊（包含7 個數據集，每個數據集中的數據塊個數依次為8 個、5 個、11個、15 個、9 個、10 個、12 個）、100 個數據塊（包含10 個數據集，每個數據集中的數據塊個數依次為5 個、7 個、15 個、14個、18 個、15 個、5 個、2 個、13 個、6 個）進行簽名和驗證。3種基于證書的簽名方案驗簽時的性能比較如圖6所示。

Table 1 Number of test data blocks表1 測試數據塊個數

Fig.6 Comparison of the performance of three certificate-based signature schemes圖6 3種基于證書的簽名方案驗簽時性能比較

從實驗結果可以看出，使用普通基于證書的數字簽名方案在驗證實驗數據塊時，隨著數據塊數量的增加，簽名的驗簽時間也隨之明顯增長。使用基于證書的聚合簽名時，雖然驗簽耗時曲線已經降低并趨于平緩，但由于每個用戶包含的數據塊數量很多，所以仍需消耗很多時間。最后使用本文設計的基于證書的同態(tài)聚合簽名方案進行驗簽時，消耗的時間最少。這是因為針對同一用戶數據集中的數據塊簽名可以使用同態(tài)簽名算法進行組合，對于來自不同用戶數據集的數據塊簽名可以使用聚合簽名算法進行壓縮。因此，使用基于證書的同態(tài)聚合簽名算法可以減少對各數據塊進行完整性檢測的驗證簽名時間，進一步提高了驗簽效率和網絡帶寬利用率。

8 結語

本文提出一種基于證書的同態(tài)聚合簽名算法，并將其應用于智慧家居系統中各種無線傳感器收集數據的完整性檢測中。算法可以在復雜的云存儲環(huán)境中，針對多用戶智慧家居傳感器收集到數據塊的完整性進行批量驗證，使用同態(tài)組合算法可壓縮同一用戶數據集中的數據塊簽名，而聚合算法可以對不同用戶數據集中數據塊的簽名作進一步聚合壓縮。通過仿真模擬實驗，可看出基于證書的同態(tài)聚合簽名在一定程度上提高了數據塊簽名的驗簽效率，節(jié)約了傳輸帶寬。但是，在智慧家居系統中還有很多問題值得探討。例如，如果證書中用戶的相關信息發(fā)生變更，或者證書被要求終止使用，都需要進一步探討用戶證書撤銷問題。此外，智慧家居無線傳感器收集的數據往往會包含一些用戶隱私及敏感數據，所以系統中數據的機密性保護也有待深入探究。